ពួក Hacker កេងប្រវ័ញ្ច Pandoc CVE-2025-51591 ដើម្បីកំណត់គោលដៅ AWS IMDS និងលួច EC2 IAM Credentials

ក្រុមហ៊ុនសន្តិសុខ Cloud Wiz បានបង្ហាញថាខ្លួនបានរកឃើញការកេងប្រវ័ញ្ចនៅក្នុងព្រៃនៃកំហុសសុវត្ថិភាពនៅក្នុងឧបករណ៍ប្រើប្រាស់លីនុចដែលមានឈ្មោះថា Pandoc ដែលជាផ្នែកមួយនៃការវាយប្រហារដែលបានរចនាឡើងដើម្បីជ្រៀតចូល Amazon Web Services (AWS) Instance Metadata Service (IMDS) ។

ភាពងាយរងគ្រោះនៅក្នុងសំណួរគឺ CVE-2025-51591 (ពិន្ទុ CVSS: 6.5) ដែលសំដៅទៅលើករណីនៃ Server-Side Request Forgery (SSRF) ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារសម្រុះសម្រួលប្រព័ន្ធគោលដៅដោយបញ្ចូលធាតុ HTML iframe ដែលបង្កើតជាពិសេស។

EC2 IMDS គឺជាធាតុផ្សំដ៏សំខាន់នៃបរិស្ថានពពក AWS ដែលផ្តល់ព័ត៌មានអំពីករណីដែលកំពុងដំណើរការ ក៏ដូចជាព័ត៌មានសម្ងាត់ដែលមានរយៈពេលខ្លី ប្រសិនបើតួនាទីគ្រប់គ្រងអត្តសញ្ញាណ និងសិទ្ធិចូលប្រើប្រាស់ (IAM) ត្រូវបានភ្ជាប់ជាមួយវត្ថុនោះ។ ទិន្នន័យមេតារបស់ instance អាចចូលប្រើបានចំពោះកម្មវិធីណាមួយដែលដំណើរការលើ instance EC2 តាមរយៈ link-local address (169.254.169[.]254)។

បន្ទាប់មក លិខិតសម្គាល់ទាំងនេះអាចត្រូវបានប្រើដើម្បីធ្វើអន្តរកម្មដោយសុវត្ថិភាពជាមួយសេវាកម្ម AWS ផ្សេងទៀតដូចជា S3, RDS ឬ DynamoDB ដែលអនុញ្ញាតឱ្យកម្មវិធីផ្ទៀងផ្ទាត់ដោយមិនចាំបាច់រក្សាទុកព័ត៌មានសម្ងាត់នៅលើម៉ាស៊ីន ដោយកាត់បន្ថយហានិភ័យនៃការប៉ះពាល់ដោយចៃដន្យ។

វិធីសាស្រ្តទូទៅមួយដែលអ្នកវាយប្រហារអាចប្រើដើម្បីលួចអត្តសញ្ញាណ IAM ពី IMDS គឺតាមរយៈកំហុស SSRF នៅក្នុងកម្មវិធីគេហទំព័រ។ នេះពាក់ព័ន្ធនឹងការបញ្ឆោតកម្មវិធីដែលកំពុងដំណើរការលើឧទាហរណ៍ EC2 ដើម្បីផ្ញើសំណើស្វែងរកព័ត៌មានសម្ងាត់ IAM ពីសេវាកម្ម IMDS ជំនួសវា។

អ្នកស្រាវជ្រាវ Wiz Hila Ramati និង Gili Tikochinski បាននិយាយថា “ប្រសិនបើកម្មវិធីអាចឈានដល់ចំណុចបញ្ចប់ IMDS ហើយងាយនឹង SSRF អ្នកវាយប្រហារអាចប្រមូលព័ត៌មានសម្ងាត់បណ្តោះអាសន្នដោយមិនត្រូវការការចូលប្រើម៉ាស៊ីនផ្ទាល់ណាមួយ (ដូចជា RCE ឬផ្លូវឆ្លងកាត់)” ។

ដូច្នេះ សត្រូវដែលកំពុងស្វែងរកគោលដៅលើហេដ្ឋារចនាសម្ព័ន្ធ AWS អាចស្វែងរកភាពងាយរងគ្រោះរបស់ SSRF នៅក្នុងកម្មវិធីគេហទំព័រដែលកំពុងដំណើរការលើករណី EC2 ហើយនៅពេលរកឃើញ ចូលទៅកាន់ទិន្នន័យមេតានៃវត្ថុ និងលួចព័ត៌មានសម្ងាត់ IAM ។ នេះមិនមែនជាការគំរាមកំហែងខាងទ្រឹស្តីទេ។

គិតត្រឹមដើមឆ្នាំ 2022 Mandiant ដែលគ្រប់គ្រងដោយ Google បានរកឃើញថាតួអង្គគំរាមកំហែងដែលវាតាមដាននៅពេលដែល UNC2903 បានវាយប្រហារបរិស្ថាន AWS ដោយបំពានលើព័ត៌មានសម្ងាត់ដែលទទួលបានដោយប្រើ IMDS តាំងពីខែកក្កដា ឆ្នាំ 2021 ដោយទាញយកប្រយោជន៍ពីកំហុស SSRF (CVE-2021-21311, CVSS score: 7.2) open source to Admine management.

បញ្ហាស្នូលរបស់វាកើតចេញពីការពិតដែលថា IMDS ឬជាពិសេសជាងនេះទៅទៀត IMDSv1 គឺជាពិធីការសំណើ និងការឆ្លើយតប ដែលធ្វើឱ្យវាក្លាយជាគោលដៅដ៏គួរឱ្យទាក់ទាញសម្រាប់តួអង្គអាក្រក់ដែលកំណត់គោលដៅកម្មវិធីគេហទំព័រដែលអាចកេងប្រវ័ញ្ចបានដែលដំណើរការ IMDSv1 ផងដែរ។

នៅក្នុងរបាយការណ៍ដែលបានចេញផ្សាយកាលពីខែមុន Resecurity បានព្រមានថានៅពេលដែល SSRF ត្រូវបានកេងប្រវ័ញ្ចប្រឆាំងនឹងហេដ្ឋារចនាសម្ព័ន្ធពពកដូចជា AWS វាអាចមានផលវិបាក “ធ្ងន់ធ្ងរ និងឆ្ងាយ” ដែលបណ្តាលឱ្យមានការលួចព័ត៌មានសម្ងាត់លើពពក ការស៊ើបអង្កេតបណ្តាញ និងការចូលប្រើប្រាស់សេវាកម្មខាងក្នុងដោយគ្មានការអនុញ្ញាត។

“ចាប់តាំងពី SSRF មានប្រភពចេញពីក្នុងម៉ាស៊ីនមេ វាអាចទៅដល់ចំណុចបញ្ចប់ដែលត្រូវបានការពារដោយជញ្ជាំងភ្លើងតាមបរិវេណ។ វាប្រែក្លាយកម្មវិធីដែលងាយរងគ្រោះទៅជាប្រូកស៊ីយ៉ាងមានប្រសិទ្ធភាព ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារ៖ រំលងបញ្ជីស IP [និង] ទៅដល់ទ្រព្យសម្បត្តិខាងក្នុងដែលមិនអាចទៅដល់បាន”។

ការរកឃើញចុងក្រោយបំផុតពី Wiz បង្ហាញថា ការវាយប្រហារសំដៅលើសេវា IMDS កំពុងបន្តកើតឡើង ដោយសត្រូវប្រើភាពងាយរងគ្រោះ SSRF នៅក្នុងកម្មវិធីដែលគេស្គាល់តិចតួចដូចជា Pandoc ដើម្បីបើកពួកវា។

អ្នកស្រាវជ្រាវ Wiz បាននិយាយថា “ភាពងាយរងគ្រោះដែលត្រូវបានតាមដានជា CVE-2025-51591 កើតចេញពី Pandoc ដែលបង្ហាញស្លាក <iframe> នៅក្នុងឯកសារ HTML”។ “វានឹងអនុញ្ញាតឱ្យអ្នកវាយប្រហារបង្កើត <iframe> ដែលចង្អុលទៅម៉ាស៊ីនមេ IMDS ឬធនធានឯកជនផ្សេងទៀត។”

“អ្នកវាយប្រហារបានបញ្ជូនឯកសារ HTML ដែលត្រូវបានបង្កើតដែលមានធាតុ <iframe> ដែលគុណលក្ខណៈ src កំណត់គោលដៅ AWS IMDS endpoint នៅ 169.254.169[.]254។ គោលបំណងគឺដើម្បីបង្ហាញ និងបណ្តេញចេញនូវខ្លឹមសារនៃផ្លូវរសើប ជាពិសេស /latest/meta-data/iam/info and /latest/meta-data/.

Wiz បាននិយាយថា ការវាយប្រហារចុងក្រោយគឺមិនបានជោគជ័យទេ ដោយសារតែការអនុវត្ត IMDSv2 ដែលតម្រង់ទិសវេន និងកាត់បន្ថយការវាយប្រហារ SSRF ដោយដំបូងតម្រូវឱ្យអ្នកប្រើប្រាស់ទទួលបានសញ្ញាសម្ងាត់ និងប្រើសញ្ញាសម្ងាត់នោះនៅក្នុងសំណើទាំងអស់ទៅកាន់ IMDS តាមរយៈបឋមកថាពិសេស (X-aws-ec2-metadata-token) ។

ក្រុមហ៊ុនបានប្រាប់ The Hacker News ថាខ្លួនបានសង្កេតឃើញការប៉ុនប៉ងកេងប្រវ័ញ្ចនៅក្នុងព្រៃ “តាំងពីខែសីហា និងបន្តពីរបីសប្តាហ៍” ដោយបន្ថែមថាវាក៏បានរកឃើញការបន្តកិច្ចខិតខំប្រឹងប្រែងលើផ្នែកនៃអ្នកគំរាមកំហែងដែលមិនស្គាល់ដើម្បីបំពានលើកំហុស SSRF មួយផ្សេងទៀតនៅក្នុង ClickHouse ដើម្បីបំពាន Google Cloud Platform របស់គោលដៅមិនបានជោគជ័យ។

ដើម្បីកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយ CVE-2025-51591 នៅក្នុងបរិស្ថានពពក វាត្រូវបានណែនាំឱ្យប្រើទង់ “-f html+raw_html” ឬជម្រើស “–sandbox” ដើម្បីការពារ Pandoc ពីការរួមបញ្ចូលមាតិកានៃធាតុ iframe តាមរយៈគុណលក្ខណៈ src ។

Wiz បាននិយាយថា “[អ្នកថែទាំ Pandoc] បានសម្រេចចិត្តថាការបង្ហាញ iframes គឺជាអាកប្បកិរិយាដែលបានគ្រោងទុក ហើយអ្នកប្រើប្រាស់ត្រូវទទួលខុសត្រូវក្នុងការសម្អាតធាតុបញ្ចូល ឬប្រើទង់ sandbox នៅពេលដោះស្រាយការបញ្ចូលរបស់អ្នកប្រើប្រាស់” Wiz បាននិយាយ។

អ្នកស្រាវជ្រាវ Mandiant បានព្រមាននៅពេលនោះថា “ទោះបីជាក្រុមហ៊ុន Amazon ផ្តល់អនុសាសន៍ឱ្យអនុវត្ត IMDSv2 ជាមួយនឹងការពង្រឹង GuardDuty ក៏ដោយ ក៏ករណី EC2 ដែលបង្កើតឡើងដោយអតិថិជន Amazon ដែលជំនួសឱ្យការប្រើប្រាស់ IMDSv1 អាចមានហានិភ័យនៅពេលរួមបញ្ចូលគ្នាជាមួយនឹងការដំណើរការកម្មវិធីភាគីទីបីដែលងាយរងគ្រោះដែលមិនបានជួសជុល” ។

ស្ថាប័នត្រូវបានផ្តល់អនុសាសន៍ឱ្យអនុវត្ត IMDSv2 នៅទូទាំងករណី EC2 ទាំងអស់ និងធានាថាករណីត្រូវបានផ្តល់តួនាទីដែលអនុវត្តតាមគោលការណ៍នៃសិទ្ធិតិចតួចបំផុត (PoLP) ដើម្បីផ្ទុកកាំផ្ទុះនៅក្នុងព្រឹត្តិការណ៍នៃការសម្របសម្រួល IMDS ។